Az - Lateral Movement (Cloud - On-Prem)
Az - Lateralno kretanje (Cloud - On-Prem)
On-Prem mašine povezane sa cloud-om
Postoje različiti načini na koje se mašina može povezati sa cloud-om:
Povezano sa Azure AD
Povezano sa Workspace-om
Hibridno povezano
Povezano sa Workspace-om na AADJ ili Hibridno
Tokeni i ograničenja
U Azure AD-u postoje različite vrste tokena sa specifičnim ograničenjima:
Pristupni tokeni: Koriste se za pristup API-ima i resursima poput Microsoft Graph-a. Povezani su sa određenim klijentom i resursom.
Osveživački tokeni: Izdati aplikacijama radi dobijanja novih pristupnih tokena. Mogu se koristiti samo od strane aplikacije kojoj su izdati ili grupe aplikacija.
Primarni osveživački tokeni (PRT): Koriste se za Jednokratnu prijavu na uređajima povezanim sa Azure AD-om, registrovanim ili hibridno povezanim uređajima. Mogu se koristiti u tokovima prijave putem pregledača i za prijavljivanje na mobilne i desktop aplikacije na uređaju.
Najinteresantnija vrsta tokena je Primarni osveživački token (PRT).
pageAz - Primary Refresh Token (PRT)Tehnike preusmeravanja
Od kompromitovane mašine do cloud-a:
Prosledi Kolačić: Ukradi Azure kolačiće iz pregledača i koristi ih za prijavu
Fišing Primarnog Osveživačkog Tokena: Fišuj PRT da bi ga zloupotrebio
Prosledi PRT: Ukradi PRT uređaja da bi pristupio Azure-u predstavljajući ga.
Prosledi Sertifikat: Generiši sertifikat na osnovu PRT-a da bi se prijavio sa jedne mašine na drugu
Od kompromitovanja AD do kompromitovanja Cloud-a i od kompromitovanja Cloud-a do kompromitovanja AD:
Još jedan način preusmeravanja sa cloud-a na On-Prem je zloupotreba Intune-a
Ovaj alat omogućava obavljanje različitih radnji poput registracije mašine u Azure AD-u radi dobijanja PRT-a, i korišćenje PRT-ova (legitimnih ili ukradenih) za pristup resursima na različite načine. Ovo nisu direktni napadi, već olakšava korišćenje PRT-ova za pristup resursima na različite načine. Pronađite više informacija na https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/
Reference
Last updated
